Рано или поздно шпионские технологии становятся доступными. Роберт Колкер из Bloomberg Businessweek в марте написал статью о Дэниеле Ригмэйдене ( Daniel Rigmaiden ) — мошеннике, который не поверил, что его поймали законными методами и начал выяснять технические детали. Приведем некоторые фрагменты из этого материала.
Проблема вот в чем: вы можете нормально отнестись к приобретению вашим отделением полиции фальшивой базовой станции за 400 тысяч долларов. Но что вы почувствуете, когда ваш сосед купит подобное оборудование за 1500 долларов?
Маленький Даниэль изъездил окрестности Монтерея со своим дедом, воевавшим во Второй мировой и в Корее. В машине они часто слушали речи Рональда Рейгана. Идеи личной свободы 40-го президента США, по всей видимости, оказали немалое влияние на Даниэля. К тому времени Ригмэйден был угрюмым панком, разочарованным во всех американских ценностях, от двухпартийной до налоговой систем. «В этом возрасте каждый ищет против чего бунтовать», — говорит он мне в Финиксе, где до недавнего времени был обязан жить по условиям досрочного освобождения. «Я думал, что придется либо бороться с фальшью системы, либо быть вне ее».
Ригмэйдену 35 лет. Худощав, сардоническая улыбка, копна черных волос. Говорит тихо и быстро, рассказывая, как превратился из мелкого интернет-жулика в одного из национальных борцов за приватность. Ригмэйден ушел из дома в 1999 году после окончания средней школы и почти десять лет околачивался возле студенческих городков Калифорнии, существуя под вымышленными именами. «Я не хочу быть скованным правилами общества, — говорит Даниэль, — это просто не для меня». Он неделями проверял себя на прочность: жил в лесу, воровал еду и воду. Потом нашел место, чтобы перекантоваться какое-то время и стал понемногу зарабатывать в Интернете — сначала продавая поддельные документы, потом перешел к более тяжким преступлениям. В 2006 году он написал программу для поиска личной информации в базах данных Интернета — имен, дат рождений, номеров социального страхования, идентификационных номеров предприятий-работодателей. Он подавал сотни поддельных налоговых деклараций с целью получить скромный возврат с каждой, и сумел сколотить немалое состояние.
Заработав таким способом около 500 000 долларов, Ригмэйден накупил золотых монет, и через некоторое время планировал переехать в Южную Америку. Но в 2008 он был арестован совместной группой сотрудников ФБР, службы внутренних доходов и почтовой службы США в своей квартире в Сан-Хосе. Предъявленных обвинений в мошенничестве и кражи личных данных хватало, чтобы упрятать его за решетку на всю оставшуюся жизнь. Только после ареста власти узнали его настоящее имя.
Ригмэйден не понимал, как его смогли отыскать. Он жил в совершенной изоляции. С окружающим миром его связывал только беспроводный модем ноутбука Verizon AirCard. Чтобы найти его, рассуждал он, власти должны были перехватить сигнал его модема среди множества других сигналов и точно определить его местоположение. Чтобы сделать это, им нужно устройство, которое, насколько он знал, не существовало.
Поиск этого устройства Даниэль сделал своей миссией. Он был в тюрьме, но смог замедлить процесс с помощью бесконечных ходатайств, оспаривающих его арест, настаивая на том, что прослушка осуществлялась без ордера. В тюремной библиотеке Ригмэйден стал изучить основы телекоммуникаций. Среди самых важных вещей, которые узнал Даниэль, было тот факт, что всякий раз, когда сотовый телефон общается с базовой станцией, он передает международный идентификатор мобильного абонента, IMSI. Модем Ригмэйдена, как и мобильный телефон, имел свой IMSI. Даниэль рассудил, что у правительства должен быть гаджет, который выдает себя за вышку сотовой связи. Такое устройство должно было подключать к себе телефоны и модемы, чтобы прослушивать трафик и найти тот самый IMSI, с которого Даниэль проворачивал делишки с фальшивыми налоговыми декларациями. Это было просто теорией Ригмэйдена, но если бы он сумел подтвердить ее, он доказал бы незаконность обыска.
Прошло два года, прежде чем Ригмэйден нашел первое реальное доказательство своей теории. В архивах некоммерческой организации Фонд Электронных Рубежей (Electronic Frontier Foundation) он откопал документы о DCSNet— подразделении ФБР для осуществления программы мониторинга технологической связи. В этих файлах он обнаружил упоминание о команде по перехвату и отслеживанию сотовых телефонов. Еще он нашел документы, поданные в адрес городских властей Флориды от местного полицейского департамента, с просьбой предоставить разрешение на приобретение оборудования для наблюдения. Во вложении указывалось название этого оборудования — StingRay, производитель Harris Corp.
Stingray – устройство размером с чемодан, предназначенное для отслеживания местоположения смартфона по международному идентификатору мобильного абонента (IMSI), перехвата телефонных разговоров и SMS-сообщений. Техническое название IMSI-catcher или Cell-site simulator. Stingray продается по цене около 400 000 долларов компанией Harris Corp. Есть подобная аппаратура и в ассортименте других производителей, в частности Digital Receiver Technology, дочерней компании Boeing. Основные покупатели — военные и разведывательные организации. Но с 2007 года устройство стало поставляться в отделы полиции Лос-Анджелеса, Нью-Йорка, Чикаго и более полусотни других городов в 21 штате.
Устройство позволяет найти любой телефон в зоне своего действия. В некоторых случаях владельца телефона можно вычислить с точностью до двух метров, например, на политической демонстрации, на Таймс-сквер или в многоквартирном доме.
Ригмэйден собрал досье из сотен страниц на Stingray и аналогичные устройства — Triggerfish, KingFish, AmberJack, Harpoon. Узнав о расследовании своего подопечного, ФБР потребовало от отделов полиции, которые использовали IMSI Catcher, подписать договоры о неразглашении. На поддельные базовые станции обратили внимание и правозащитники. Ригмэйден подал сотни ходатайств на протяжении почти шести лет, пока ему наконец не предложили сделку со следствием — признание вины в заговоре, мошенничестве с использованием почты и других нарушениях закона в обмен на срок, который он уже отсидел. Он вышел в апреле 2014 года, и его испытательный срок закончился в январе. Сейчас Ригмэйден является свободным человеком. Подобно сказочному бездельнику Рип Ван Винклю, который, выпив голландской водки, проспал 20 лет в Каатскильских горах, Ригмэйден проснулся в мире, где вопросы слежки через мобильный телефон — это поле битвы для всех.
Борьба за конфиденциальность сотовых телефонов сегодня идет по меньшей мере на двух фронтах. Первый — это спор по поводу шифрования данных телефона, в которой Apple делает все возможное, чтобы не поделиться своими методами с государством (но ФБР справилось самостоятельно). Второй фронт — сетевая безопасность, в которой полиция и военные долгие годы эксплуатируют уязвимости размером с амбарные ворота. И дело не только в правительстве: в конце концов спецслужбы могут официально запросить информацию от оператора. Проблема в том, что ISIM Catcher, использованный для поимки налогового мошенника насколько лет назад, сегодня легко сделать самостоятельно.
«Любой может изготовить StingRay, заказав детали на специализированных сайтах», — говорит Ригмэйден, показывая длинный список подобных экспериментов. — Оператор никогда ничего не узнает, там не будет никаких нарушений сервиса». Таким образом, демократия пришла в мир мобильной слежки.
Человек, слушающий ваши разговоры по сотовому телефону, не обязательно служит в полиции или ФБР. Это может быть ваш сосед
Заснеженным февральском утром в Аннаполисе, штат Мэриленд, коллегия из трех судей рассматривала апелляцию в первом деле по Stingray. Это было дело Керрона Эндрюса (Kerron Andrews). 25-летнего мужчину арестовали два года назад в Балтиморе за покушение на убийство. Его назначенный судом адвокат сделал то, что многие из назначенных судом адвокатов в Балтиморе делали в последние годы. Вдохновленный случаем Ригмэйдена, он оспаривает решение об аресте подзащитного на основании Четвертой поправки, утверждая, что технология, используемая для нахождения Керрона в доме, не может рассматриваться как источник доказательств. Для поимки Эндрюса полицейские в судебном порядке получили возможность использовать данные от оператора сотовой связи, но вычислили Керрона с помощью Hailstorm, современной разновидности Stingray.
Во время споров два из трех апелляционных судей скептически относятся к позиции государственного обвинителя. Судья Даниэль Фридман, кажется, раздражен непониманием полиции и прокуратуры того факта, что Hailstorm вторгается в частную жизнь подозреваемых. Судья Андреа Лихи предполагает, что этот случай похож на дело 2012 года США против Джонса. В том случае было вынесено решение, запрещающее полиции устанавливать GPS-устройство на чьем-то автомобиле без ордера. «Перехват сигналов телефона тоже требует ордера», — резюмирует судья.
Затем Даниил Кобрин, апелляционный адвокат, представляющий Эндрюса, говорит фразу, которая сделала бы честь и Тиму Куку: «У каждого из нас есть разумные требования к конфиденциальности, которые Hailstorm грубо нарушает». «Когда я иду по улице, то не говорю моему телефону — пусть Verizon, Sprint или T-Mobile узнает, где я нахожусь», — говорит адвокат. — Телефоны — не устройства для слежки. Никто не покупает и не использует их по этой причине». Спустя несколько недель доказательства, полученные в результате использования Hailstorm, были отклонены. Вскоре Мэриленду, возможно, придется пройти путь штата Вашингтон и внести четкость в формулировки в ордерах касательно использования IMSI Catcher.
За происходящим наблюдает Кристофер Согоян (Christopher Soghoian), главный технолог американского Союза гражданских свобод (American Civil Liberties Union). Он даже больше Ригмэйдена несет ответственность за выявления уязвимостей телекоммуникационной системы и терзает один штат за другим, чтобы они урегулировали процедуру слежки за пользователями мобильных телефонов. Бородатый, длинноволосый доктор наук из Университета Индианы поднимал тревогу по поводу Stingray еще пять лет назад — с тех пор, как он получил сообщение, отправленное Ригмэйденом из тюрьмы, в котором тот говрил ему, что может доказать взлом полицейскими его телефона. «Я вспомнил, что видел ее в The Wire», — говорит Согоян, но думал, что она вымышленная» (IMSI Catcher нередко появляются и на телевидении, например в сериале Homeland). Коллеги Согояна, десятки общественных защитников, появившихся в штате Мэрилэнд, называют IMSI Catcher любимой игрушкой полиции; в одном деле прошлым летом детектив свидетельствовал о том, что полиция Балтимора воспользовались моделью Hailstorm около 4300 раз. «Адвокаты узнали об этом, что привело к массовым пересмотрам дел StingRay в Балтиморе», — говорит Согоян.
Компания Harris является оборонным подрядчиком из Флориды с долей рынка 9,7 млрд. долл и 22 000 сотрудниками. В 1970-х годах Harris построил первую защищенную «горячую линию» между Белым домом и Кремлем; позже они занялись GPS-навигацией, управлением воздушным движением и военными радиостанциями. Первый их «набег» на сотовые сети был в 1995 году, когда ФБР использовало их «кэтчер» Triggerfish для розыска Кевина Митника.
StingRay появился спустя несколько лет и был, в отличие от Triggerfish, совместим с цифровыми сотовыми сетями. Первыми клиентами стали военные и шпионы. ФБР очень любит IMSI Catcher. «Так мы находим убийц», — говорит директор ФБР Джеймс Коми. Правда, после огласки дела Ригмэйдена и других прошлой осенью, Министерство юстиции США сообщило, что теперь ФБР, в подавляющем числе случаев, нужны ордера перед использованием таких устройств.
Впрочем, для большинства местных отделов полиции подобной директивы нет. Тоже самое касается и иностранных правительств, которые, предположительно широко используют такую аппаратуру в США (как и мы, без сомнения, применяем ее в других странах). Известность StingRay породила рынок средств защиты от прослушки. В народном сегменте выступает SnoopSnitch от Карстена Нола, бесплатное приложение с открытым исходным кодом для Android. На платежеспособных клиентов ориентируется компания ESD America из Лас-Вегаса со своим криптофоном Cryptophone за 3500 долларов. Устройство сканирует все базовые станции поблизости, сигнализируя о каких-либо подозрениях. Хотя криптофон не может со 100% уверенностью сказать, что подозреваемая базовая станция являет собой IMSI catcher, продажи идут. «Мы каждую неделю продаем один Криптофон», — говорит 40-летний главный исполнительный директор ESD America Лес Голдсмит. Но мечта ESD America — правительственные заказчики. В прошлом году эта небольшая компания совместно с немецкой фирмой GSMK выпустила программный комплекс стоимостью 7 миллионов долларов под названием OverWatch. Комплекс может помочь властям обнаруживать незаконные IMSI-ловушки, используя триангуляцию от датчиков, расположенных вокруг города. «Вскоре OverWatch будет работать в 25 разных странах», — признается Голдсмит.
Хакеры тоже присматриваются к недостаткам мобильной связи. На заре аналоговой сотовой телефонии любой мог пойти в «radioshack» и купить приемник для прослушивания звонков. Конгресс забеспокоился об этой проблеме в 1990-х годах. Тогда проходили специальные слушания, посвященные безопасности сотовой индустрии, которые давали шанс укрепить защищенность сетей. Вместо этого конгресс решил запретительными мерами подавить продавцов устройств для перехвата, а при появлении цифровой мобильной связи расчет был на высокую стоимость подобного оборудования. Это оказалось немного недальновидно.
Все эти годы, пока вы используете 2G-телефоны (стандарта GSM), ваши звонки, тексты, и местоположения были уязвимы для IMSI Catcher. В 2008 году немецкий исследователь Тобиас Энгель первым продемонстрировал примитивный самодельный IMSI Catcher, осуществлявший прослушивание звонков и чтение текстов в сетях 2G. Два года спустя, на хакерской конференции Defconв Лас-Вегасе, исследователь Крис Паже отслеживал звонки, сделанные в сети 2G аппаратом стоимостью всего 1500 долларов.
Сейчас телефоны работают в более современных стандартах 3G и 4G. В теории, IMSI Catcher может определить только расположение этих телефонов, а не слушать разговоры и читать сообщения. Но все это не имеет значения, если IMSI Catcher просто переведет телефон в режим 2G. «В документах УБН мы наткнулись на возможность перехватчика Hailstorm (преемника StingRay) работать в роли нэйтивного LTE IMSI catcher, и это весьма нас удивило», — вспоминает Согоян.
Они нашли подсказку к ответу прошлой осенью, когда команда исследователей из Берлина и Хельсинки объявила о разработке IMSI Catcher, который может заставить LTE-телефон сообщить о своем расположение в радиусе 10-20 метров, а в некоторых случаях передать и GPS-координаты. «В основном мы делали даунгрейд до 2G или 3G», — говорит Равишанкар Боргаонкар (Ravishankar Borgaonkar), 30-летний оксфордский доктор философии. «Мы хотели увидеть, так ли безопасны 4G-сети, как это рекламируется». Стоимость данного IMSI Catcher составляет 1400 долларов. Пока в телефонах поддерживается стандарт 2G, их можно перевести в этот режим. И телефонные операторы не могут избавиться от 2G, иначе покрытие сети резко уменьшится.
Команда Боргаонкара разработала «пассивный приемник», этакий бюджетный вариант Stingray. Вместо того чтобы активно отслеживать один сотовый телефон, перевести его в режим 2G и осуществлять мониторинг, пассивный приемник собирает IMSI всех сотовых терминалов в радиусе действия. Это идеально подходит для некоторых полицейских департаментов, которые, как писал Wall Street Journal прошлым летом, покупают пассивные устройства в больших количествах у компании KEYW Corporation из Ганновер (штат Мэриленд) по 5000 долларов за штуку. В одном из правоохранительных документов Флориды эти устройства описаны как «более портативные, надежные и незаметные в работе». Такие пассивные приемники подходят для сбора информации о членах демонстрации или посетителях наркопритонов.
Однако один из бывших программистов Harris сильно сомневается в возможностях любительских устройств. «Есть гигантская разница между самодельным IMSI Catcher и Harris StingRay», — с гордостью говорит он. Тем не менее, он сильно впечатлен прогрессом самостоятельных разработчиков. «Я бы сказал, что самый серьезный прорыв связан с архитектурой программно-определяемых радиосистем ( SDR ) в области LTE (когда аппаратные модули можно заменять программными)», — говорит он.
Индия, Китай
Вам не придется далеко ходить, чтобы увидеть, как выглядит мир дешевых моделей IMSI Catcher. Два года назад в Китае закрыли два десятка заводов по производству нелегальных фальшивых сот. Устройства использовались для завлечения людей на фишинговые сайты и отправки SMS-спама. Вместо того, чтобы платить сотовой компании 5 центов за текстовое сообщение, спамеры устанавливают поддельные базовые станции и отправляют сообщения бесплатно всем абонентам сети в районе.
В Индии аналогичная ситуация. Правительственные структуры начали скупать симуляторы базовых станций предположительно для прослушивания лидеров оппозиционных партий и их жен. «Мы можем отслеживать любого, кого пожелаем», — анонимно признается чиновник разведывательного департамента в интервью индийской газете. Перехватывают и звонки топ-менеджеров корпораций, причем основное внимание уделяется ночным вызовам для установки, видимо, сексуальных контактов и сбора компромата. К 2010 году высшие государственные служащие публично признали, что сотовая связь в Индии незащищена. «Обстановка в Индии сегодня позволяет понять, какой станет Америка, когда эта технология будет повсеместной, — говорит Согоян. — А уровень безопасности сотовых сетей в США не выше индийского».
В Америке, очевидно, есть много способов незаконно использовать фальшивые соты. Например, прослушивать телефон Ким Кардашьян (в те редкие моменты, когда она не хочет, чтобы СМИ нашли ее). Теперь любой уважающий стажер TMZ (сайта о жизни звезд) в состоянии узнать о ней много нового. «Думаю, недолго ждать следующего супер-скандала «by Мердок», который будет связан не с взломом голосовой почты, а с использованием Stingray, — говорит Согоян. — полторы тысячи долларов ничего не значат для желтой прессы».
Конечно, не так просто взять и купить поддельную соту стоимостью полторы тысячи. За чашкой кофе после суда в Аннаполисе Согоян штудирует рынок alibaba.com на своем смартфоне. Он пишет в поисковой строке в IMSI Catcher и получает список предложений. Цены — от 1800 в Нигерии до 20000 долларов в Бангладеш. Согоян отмечает, что предлагаемые устройства, похоже, работают только в сетях 2G, в отличие от StinGray. «Но можно приобрести глушилку за 20 баксов, — продолжает Согоян. — и перевести телефон в режим 2G. Пара джаммеров и дешевый IMSI Catcher, чтобы сделать аналог Hailstorm».
Эти уязвимости нужны всем
Власти знают об этих уязвимостях, но никто не хочет решить проблему, так как всем нравится их эксплуатировать. Два года назад представитель член палаты представителей США Алан Грейсон написал о своем беспокойстве по поводу уязвимостей сотовых сетей письмо в Федеральную комиссию по связи (FCC). Том Уиллер, бывший лоббист отрасли, руководитель этого регулирующего органа, создал рабочую группу, которая до сих пор ничего не произвела. «Внутренняя группа комиссии в сотрудничестве с нашими федеральными партнерами продолжает изучать факты, связанные устройствами IMSI Catcher. По итогам данного исследования будут сделаны определенные выводы», — говорит пресс-секретарь FCC Нил Грейс.
Согоян не видит повода для оптимизма. «FCC находится между молотом и наковальней, — говорит он. — Они не хотят ничего сделать для контроля поддельных базовых станций, пока правоохранительные органы используют их в своей работе. Но если фальшивые соты применяет полиция, то и преступники тоже их эксплуатируют». В отличие от битвы между ФБР и Apple, частные компании не будут бороться с государством, победить уязвимости сотовых сетей может только государство. Но это будет борьба против себя.
“Есть много людей, которые хотят шпионить за соседями, женами и подружками”
Из квартиры в центре Финикса Ригмэйден обсуждает с представителями филиала американского союза гражданских свобод Вашингтона свое участие в разработке государственного закона, требующего санкцию на применение IMSI Catcher. Он судится с ФБР, требуя рассекретить больше информации по StingRay. И теперь, когда срок его условно-досрочного освобождения закончился, он хотел бы читать лекции по всей стране о проблеме слежки через мобильную связь. «Когда я начинал свое расследование, я и не подозревал, что все настолько плохо, — говорит он, тихо посмеиваясь. — Но я намерен попытаться изменить эту ситуацию».
Невероятная способность Ригмэйдена цепляться за каждый факт и находить взаимосвязи в документах может пригодиться еще не раз. Он откопал в спецификациях KEYW информацию о пассивных базовых станциях, и подозревает, что крупные компаний, таких как Harris вскоре начнут делать подобные устройства в промышленных масштабах. «Думаю, вскоре у каждого полицейского на поясе или в машине появится подобное устройство», — предполагает Ригмэйден. Другие люди тоже получат доступ к этим технологиям. Ригмэйден уверен, что прослушка и перехват станут обыденным делом, по трудности сравнимым с установкой приложения на телефоне».
Он не одинок в этом мнении. «Как только технология становится доступна по цене, она появляется на масс-маркете, — говорит Дженнифер Линч, штатный юрист Фонда электронных рубежей (EFF). — Компании всегда стараются найти новые рынки сбыта для своих технологий. И есть много людей, которые будут не против шпионить за своими соседями, женами и подружками».
Атаки по всему миру
Поддельные базовые станции — не единственная проблема мобильной связи. Такие компании, как Verint Systems и Defentek разработали устройства, которые эксплуатируют огромную дыру в безопасности SS7 (система сигнализации 7, в России ОКС-7). Эта система соединяет каждого оператора сотовой связи по всему миру. Уязвимости позволяют злоумышленнику определять местонахождение конкретного сотового телефона в любой точке планеты, перехватывать звонки и SMS-сообщения. «Определить источник атаки практически невозможно, она может вестись из Китая или России»,— говорит Тобиас Энгель, который демонстрировал недостатки SS7 на конференции 2014 года в Гамбурге. Представитель международной ассоциации производителей беспроводных устройств CTIA— The Wireless Association утверждает, что в США сети SS7 безопаснее, чем в Европе. «За пределами США сети более фрагментированы и не так однородны», — утверждает Джон Мариньо, который руководит рабочей группой группы по кибербезопасности CTIA.
Лес Голдсмит из ESD, компания которого разработала комплекс по отражению атак на абонентские устройства сотовой связи стоимостью несколько миллионов, ставит под сомнение защищенность американских сетей SS7. «Это звучит комично для каждого, кто разбирается в проблеме, — смеется Голдсмит. — Мы проводили тесты американских операторов. Они уязвимы точно также, как и все остальные».
Даниэлю Ригмэйдену иногда хочется снова вернуться жить в лес, когда он думает о том, что как бы ни закончился спор Apple и ФБР, проблемы безопасности сетей сотовой телефонии скорее всего останутся с нами навсегда. «Такие уязвимости практически неустранимы, — говорит он. — Это архитектурные особенности функционирования операторов мобильной связи».
